Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\WINK File\shell\open\command] '' = '%PROGRAM_FILES%\dialers\dmc\dmc.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DMC' = '%PROGRAM_FILES%\dialers\dmc\dmc.exe /noconnect'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\dialers\dmc\dmc.exe' -kill <Полный путь к вирусу> /install
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s /u <SYSTEM32>\MimeCheck2.dll
- '<SYSTEM32>\regsvr32.exe' /s /u <SYSTEM32>\MimeCheck.dll
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\getclientid[1]
- %TEMP%\WNK1.tmp
- %TEMP%\WNK2.tmp
- %HOMEPATH%\Desktop\DateMatchCentral1.url
- %PROGRAM_FILES%\dialers\dmc\dmc.exe
- <SYSTEM32>\DMC-uninstall.exe
- %PROGRAM_FILES%\dialers\links\Link01.ico
Удаляет следующие файлы:
- %TEMP%\WNK2.tmp
- %TEMP%\WNK1.tmp
Сетевая активность:
Подключается к:
- '20#.#77.92.204':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- 20#.#77.92.204/w/getclientid?sr##################
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'DMC'
- ClassName: 'DMC' WindowName: '(null)'
